Proteção de dados no AMS - Guia do usuário avançado do AMS
Amazon MacieGuardDutyFirewall DNS do Amazon Route 53 ResolverAWS Certificate Manager certificado (ACM)Criptografia de dados no AMS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Proteção de dados no AMS

O AMS monitora continuamente suas contas gerenciadas utilizando AWS serviços nativos, como Amazon GuardDuty, Amazon Macie (opcionalmente) e outras ferramentas e processos proprietários internos. Depois que um alarme é acionado, o AMS assume a responsabilidade pela triagem inicial e pela resposta ao alarme. Nossos processos de resposta são baseados nos padrões do NIST. O AMS testa regularmente seus processos de resposta usando a Simulação de Resposta a Incidentes de Segurança com você para alinhar seu fluxo de trabalho aos programas existentes de resposta de segurança do cliente.

Quando o AMS detecta qualquer violação ou ameaça iminente de violação de suas políticas de AWS segurança, coletamos informações, incluindo recursos afetados e quaisquer alterações relacionadas à configuração. O AMS fornece follow-the-sun suporte 24 horas por dia, 7 dias por semana, 365 dias por ano, com operadores dedicados revisando e investigando ativamente painéis de monitoramento, fila de incidentes e solicitações de serviço em todas as suas contas gerenciadas. O AMS investiga as descobertas com nossos especialistas em segurança para analisar a atividade e notificá-lo por meio dos contatos de escalonamento de segurança listados em sua conta.

Com base em nossas descobertas, a AMS interage com você de forma proativa. Se você acredita que a atividade não é autorizada ou suspeita, a AMS trabalha com você para investigar, corrigir ou conter o problema. Existem certos tipos de descobertas geradas por GuardDuty que exigem que você confirme o impacto antes que o AMS possa realizar qualquer ação. Por exemplo, o tipo de GuardDuty descoberta UnauthorizedAccess:IAMUser/ConsoleLoginindica que um de seus usuários fez login em um local incomum; o AMS notifica você e solicita que você revise a descoberta para confirmar se esse comportamento é legítimo.

Amazon Macie

O AWS Managed Services recomenda que você use o Macie para detectar uma lista grande e abrangente de dados confidenciais, como informações pessoais de saúde (PHI), informações de identificação pessoal (PII) e dados financeiros.

O Macie pode ser configurado para ser executado periodicamente em qualquer bucket do Amazon S3, automatizando a avaliação de qualquer objeto novo ou modificado dentro de um bucket ao longo do tempo. À medida que as descobertas de segurança forem geradas, o AMS notificará você e trabalhará com você para remediar, conforme necessário.

Para obter mais informações, consulte Análise das descobertas do Amazon Macie.

Segurança do Amazon Macie

O Macie é um serviço de segurança intelligence/AI artificial que ajuda você a evitar a perda de dados descobrindo, classificando e protegendo automaticamente dados confidenciais armazenados na AWS. O Macie usa o aprendizado de máquina para reconhecer dados confidenciais, como informações de identificação pessoal (PII) ou propriedade intelectual, atribui um valor comercial e fornece visibilidade de onde esses dados são armazenados e como estão sendo usados em sua organização. O Macie monitora continuamente a atividade de acesso aos dados em busca de anomalias e emite alertas quando detecta o risco de acesso não autorizado ou vazamento inadvertido de dados. O serviço Macie oferece suporte ao Amazon S3 AWS CloudTrail e às fontes de dados.

O AMS monitora continuamente os alertas do Macie e, se alertado, toma medidas rápidas para proteger seus recursos e sua conta. Com a adição do Macie à lista de serviços que o AMS suporta, agora também somos responsáveis por habilitar e configurar o Macie em todas as suas contas, de acordo com suas instruções. Você pode ver os alertas do Macie e nossas ações à medida que elas se desenrolam no console da AWS ou nas integrações compatíveis. Durante a integração da conta, você pode indicar as contas que você usa para armazenar PII. Para todas as novas contas com PII, recomendamos o uso do Macie. Para contas existentes com PII, entre em contato conosco e nós a ativaremos em sua conta. Como resultado, você pode ter uma camada adicional de proteção disponível e aproveitar todos os benefícios do Macie em seu ambiente da AWS gerenciado pelo AMS.

AMS Macie FAQs

  • Por que eu preciso do Macie quando todas as contas do AMS têm o Trend Micro e GuardDuty estão ativadas?

    O Macie ajuda você a proteger seus dados no Amazon S3, ajudando você a classificar quais dados você tem, o valor que os dados têm para a empresa e o comportamento associado ao acesso a esses dados. GuardDuty A Amazon oferece ampla proteção de suas contas, cargas de trabalho e dados da AWS, ajudando a identificar ameaças como reconhecimento de agentes de ameaças, problemas de instâncias e atividades problemáticas da conta. Ambos os serviços incorporam análise do comportamento do usuário, aprendizado de máquina e detecção de anomalias para detectar ameaças em suas respectivas categorias. A Trend Micro não se concentra em identificar PII e ameaças provenientes delas.

  • Como faço para ativar o Macie na minha conta AMS?

    Se você PII/PHI armazenou em suas contas ou planeja armazená-las, entre em contato com seu CSDM ou faça uma solicitação de serviço para habilitar o Macie para suas contas novas ou existentes gerenciadas pelo AMS.

  • Quais são as implicações de custo de ativar o Macie na minha conta do AMS?

    Os preços do Macie funcionam para o AMS de forma semelhante a outros serviços, como o Amazon Elastic Compute Cloud (Amazon EC2). Você paga pelo Amazon Macie com base no uso e um aumento do AMS com base no seu. SLAs As taxas do Macie são baseadas no uso, consulte os preços do Amazon Macie, medidos com base AWS CloudTrail em eventos e no armazenamento do Amazon S3. Observe que as cobranças do Macie tendem a diminuir a partir do segundo mês após sua ativação, pois a cobrança é baseada nos dados incrementais adicionados aos buckets do Amazon S3.

Para saber mais sobre Macie, consulte Amazon Macie.

GuardDuty

GuardDuty é um serviço contínuo de monitoramento de segurança que usa feeds de inteligência de ameaças, como listas de endereços IP e domínios maliciosos, e aprendizado de máquina para identificar atividades inesperadas, potencialmente não autorizadas e maliciosas em seu ambiente da AWS. Isso pode incluir problemas como escalonamento de privilégios, uso de credenciais expostas ou comunicação com endereços IP ou domínios maliciosos. GuardDuty também monitora o comportamento de acesso à conta da Amazon Web Services em busca de sinais de comprometimento, como implantações de infraestrutura não autorizadas, como instâncias implantadas em uma região que nunca foi usada, ou chamadas de API incomuns, como uma alteração na política de senha para reduzir a força da senha. Para obter mais informações, consulte o Guia GuardDuty do usuário.

Para visualizar e analisar suas GuardDuty descobertas, use o procedimento a seguir.

  1. Abra o console de GuardDuty .

  2. Escolha Descobertas e, em seguida, escolha uma descoberta específica para ver os detalhes. Os detalhes de cada descoberta diferem dependendo do tipo de descoberta, dos recursos envolvidos e da natureza da atividade.

Para obter mais informações sobre os campos de busca disponíveis, consulte os detalhes da GuardDuty descoberta.

GuardDuty segurança

A Amazon GuardDuty oferece detecção de ameaças que permite monitorar e proteger continuamente suas contas e cargas de trabalho da AWS. A Amazon GuardDuty analisa fluxos contínuos de metadados gerados a partir de sua conta e atividade de rede encontrados em Eventos, registros de fluxo do AWS CloudTrail Amazon VPC e registros do Sistema de Nomes de Domínio (DNS). Ele também usa inteligência de ameaças integrada, como endereços IP maliciosos conhecidos, detecção de anomalias e aprendizado de máquina para identificar ameaças com mais precisão. GuardDuty é um serviço AMS monitorado. Para saber mais sobre o GuardDuty monitoramento da Amazon, consulteGuardDuty monitoramento. Para saber mais sobre isso GuardDuty, consulte Amazon GuardDuty.

Todas as novas contas do AMS foram GuardDuty ativadas por padrão. O AMS é configurado GuardDuty durante a integração da conta. Você pode enviar solicitações de alteração para modificar as configurações a qualquer momento. GuardDuty os preços funcionam para o AMS de forma semelhante a outros serviços, como o Amazon Elastic Compute Cloud (Amazon EC2). Você paga GuardDuty com base no uso e um aumento do AMS com base no seu SLAs. GuardDuty as taxas são baseadas no uso (Amazon GuardDuty Pricing), medidas com base nos AWS CloudTrail eventos e no volume do seu registro de fluxo do Amazon VPC.

GuardDuty Para o AMS, as seguintes categorias primárias de detecção estão habilitadas:

  • Reconhecimento -- Atividade que sugere reconhecimento por um agente de ameaça, como atividade incomum de API, escaneamento de portas intra-VPC, padrões incomuns de solicitações de login com falha ou sondagem de porta desbloqueada de um IP incorreto conhecido.

  • Problema na instância: atividade problemática na instância, como mineração de criptomoedas, malware usando algoritmos de geração de domínio (DGA), atividade de negação de serviço de saída, volume anormalmente alto de tráfego de rede, protocolos de rede incomuns, comunicação de instância de saída com um IP malicioso conhecido, EC2 credenciais temporárias da Amazon usadas por um endereço IP externo e exfiltração de dados usando DNS.

  • Atividade da conta — Os padrões comuns indicativos da atividade da conta incluem chamadas de API de uma geolocalização incomum ou proxy anônimo, tentativas de desativar o registro em AWS CloudTrail log, lançamentos incomuns de instâncias ou infraestruturas, implantações de infraestrutura em uma região incomum da AWS e chamadas de API de endereços IP maliciosos conhecidos.

O AMS usa GuardDuty em suas contas gerenciadas para monitorar continuamente descobertas e alertas GuardDuty e, se alertadas, as operações do AMS tomam medidas proativas para proteger seus recursos e sua conta. Você pode ver GuardDuty as descobertas e nossas ações à medida que elas se desenrolam no console da AWS ou nas integrações suportadas.

GuardDuty funciona com o Trend Micro Deep Security Manager em sua conta. O Trend Micro Deep Security Manager fornece serviços de detecção e prevenção de intrusões baseados em host. Os serviços de Web Reputation da Trend Micro têm alguma sobreposição GuardDuty na capacidade de detectar quando um host está tentando se comunicar com um host ou serviço web conhecido por ser uma ameaça. No entanto, GuardDuty fornece categorias adicionais de detecção de ameaças e faz isso monitorando o tráfego da rede, um método que é complementar à detecção baseada em host da Trend Micro. A detecção de ameaças baseada em rede permite maior segurança ao não permitir que os controles falhem se o host estiver exibindo um comportamento problemático. O AMS recomenda o uso GuardDuty em todas as suas contas do AMS.

Para saber mais sobre a Trend Micro, consulte a Central de Ajuda do Trend Micro Deep Security; observe que links que não são da Amazon podem ser alterados sem aviso prévio.

GuardDuty monitoramento

GuardDuty informa você sobre o status do seu ambiente da AWS, produzindo descobertas de segurança que o AMS captura e sobre as quais pode alertar.

A Amazon GuardDuty monitora a segurança do seu ambiente da AWS analisando e processando registros de fluxo de VPC, registros de AWS CloudTrail eventos e registros do Sistema de Nomes de Domínio. Você pode expandir esse escopo de monitoramento configurando GuardDuty para também usar suas próprias listas de IPs confiáveis e personalizadas e listas de ameaças.

  • As listas de IP confiáveis consistem em endereços IP que você permitiu para comunicação segura com sua infraestrutura e aplicativos da AWS. GuardDuty não gera descobertas para endereços IP em listas de IP confiáveis. Você pode ter somente uma lista de IPs confiáveis enviada por vez por conta da AWS e por região.

  • As listas de ameaças consistem em endereços IP maliciosos conhecidos. GuardDuty gera descobertas com base em listas de ameaças. Você pode ter no máximo seis listas de ameaças enviadas por vez por conta da AWS e por região.

Para implementar GuardDuty, use o AMS CT Deployment | Monitoring and notification | GuardDuty IP set | Create (ct-08avsj2e9mc7g) para criar um conjunto de endereços IP aprovados. Você também pode usar o AMS CT Deployment | Monitoring and notification | GuardDuty Threat Intel Set | Create (ct-25v6r7t8gvkq5) para criar um conjunto de endereços IP negados.

Para obter uma lista dos serviços que o AMS monitora, consulteO que o sistema de monitoramento AMS monitora?.

Firewall DNS do Amazon Route 53 Resolver

O Amazon Route 53 Resolver responde recursivamente às consultas de DNS de AWS recursos para registros públicos, nomes DNS específicos do Amazon VPC e zonas hospedadas privadas do Amazon Route 53, e está disponível por padrão em todos. VPCs Com o Firewall DNS do Route 53 Resolver, você pode filtrar e regular o tráfego DNS de saída para sua nuvem privada virtual (VPC). Para fazer isso, você cria coleções reutilizáveis de regras de filtragem em grupos de regras do Firewall DNS, associa os grupos de regras à sua VPC e monitora a atividade em logs e métricas do Firewall DNS. Com base na atividade, você pode ajustar o comportamento do Firewall DNS adequadamente. Para obter mais informações, consulte Usando o firewall DNS para filtrar o tráfego DNS de saída.

Para visualizar e gerenciar sua configuração do Route 53 Resolver DNS Firewall, use o procedimento a seguir:

  1. Faça login no Console de gerenciamento da AWS e abra o console da Amazon VPC em. https://console.aws.amazon.com/vpc/

  2. Em Firewall DNS, escolha Grupos de regras.

  3. Revise, edite ou exclua sua configuração existente ou crie um novo grupo de regras. Para obter mais informações, consulte Como o Route 53 Resolver DNS Firewall funciona.

Amazon Route 53 Resolver DNS Firewall: monitoramento e segurança

O Amazon Route 53 DNS Firewall usa os conceitos de associação de regras, ação de regras e prioridade de avaliação de regras. Uma lista de domínios é um conjunto reutilizável de especificações de domínios que você usa em uma regra do DNS Firewall, dentro de um grupo de regras. Quando você associa um grupo de regras a uma VPC, o DNS Firewall compara suas consultas de DNS com as listas de domínios usadas nas regras. Se o Firewall do DNS encontrar uma correspondência, ele processará a consulta de DNS de acordo com a ação da regra correspondente. Para obter mais informações sobre regras e grupos de regras, consulte Regras e grupos de regras do Firewall DNS.

As listas de domínios se enquadram em duas categorias principais:

  • Listas de domínios gerenciados, que AWS criam e mantêm para você.

  • Suas próprias listas de domínios, que você cria e mantém.

Os grupos de regras são avaliados com base em seu índice de prioridade de associação.

Por padrão, o AMS implanta uma configuração de linha de base que consiste na seguinte regra e grupo de regras:

  • Um grupo de regras chamadoDefaultSecurityMonitoringRule. O grupo de regras tem a maior prioridade de associação disponível no momento da criação para cada VPC existente em cada uma habilitada. Região da AWS

  • Uma regra nomeada DefaultSecurityMonitoringRule com prioridade 1 dentro do grupo de DefaultSecurityMonitoringRule regras, usando a lista de domínios AWSManagedDomainsAggregateThreatList gerenciados com a ação ALERT.

Se você tiver uma configuração existente, a configuração básica será implantada com menor prioridade do que a configuração existente. Sua configuração existente é a padrão. Você usa a configuração básica do AMS como uma solução abrangente se sua configuração existente não fornecer uma instrução de maior prioridade sobre como lidar com a resolução de consultas. Para alterar ou remover a configuração da linha de base, faça o seguinte:

Se sua conta for operada no modo Desenvolvedor ou no modo Alteração Direta, você mesmo poderá realizar as alterações.

AWS Certificate Manager certificado (ACM)

O AMS tem um certificado CT, Deployment | Advanced stack components | ACM com SANs | Create adicional (ct-3l14e139i5p50), que você pode usar para enviar uma solicitação de um certificado do AWS Certificate Manager, com até cinco nomes alternativos de assunto (SAN) adicionais (como example.com, example.net e example.org). Para obter detalhes, consulte O que é AWS Certificate Manager? e característica do certificado ACM.

nota

Essa configuração de tempo limite não diz respeito apenas à execução, mas também à validação do certificado ACM por meio da validação por e-mail. Sem sua validação, o RFC falha.

Criptografia de dados no AMS

O AMS usa vários AWS serviços para criptografia de dados, principalmente Amazon Simple Storage Service, AWS Key Management Service (AWS KMS), Amazon Elastic Block Store, Amazon Relational Database Service Amazon Redshift,,, Amazon ElastiCache AWS Lambda, e Amazon OpenSearch Service.

Amazon S3

O Amazon S3 oferece várias opções de criptografia de objetos que protegem os dados em trânsito e em repouso. A criptografia no lado do servidor criptografa o objeto antes de salvá-lo em discos em seus datacenters e os descriptografa ao fazer download dos objetos. Contanto que você autentique sua solicitação e tenha permissões de acesso, não há diferença na forma de acesso aos objetos criptografados ou não criptografados. Para obter mais informações, consulte Proteção de dados no Amazon S3.

Amazon EBS

Com a criptografia do Amazon EBS, você não precisa criar, manter e proteger sua própria infraestrutura de gerenciamento de chaves. A criptografia do Amazon EBS usa AWS KMS chaves ao criar volumes e snapshots criptografados. As operações de criptografia ocorrem nos servidores que hospedam as EC2 instâncias da Amazon. Isso é feito para garantir que tanto a instância data-at-rest data-in-transit quanto o armazenamento conectado do Amazon EBS estejam seguros. É possível anexar volumes criptografados e não criptografados a uma instância simultaneamente. Para obter mais informações, consulte Criptografia do Amazon EBS.

Amazon RDS

O Amazon RDS pode criptografar suas instâncias de banco de dados do Amazon RDS. Os dados criptografados em repouso incluem o armazenamento subjacente para instâncias de banco de dados, seus backups automatizados, réplicas de leitura e instantâneos. As instâncias de banco de dados criptografadas do Amazon RDS usam o algoritmo de criptografia AES-256 padrão do setor para criptografar seus dados no servidor que hospeda suas instâncias de banco de dados do Amazon RDS. Após a criptografia dos seus dados, o Amazon RDS lida com a autenticação do acesso e a decodificação dos seus dados de forma transparente com um mínimo impacto sobre o desempenho. Você não precisa modificar suas aplicações cliente de banco de dados para usar a criptografia. Para ter mais informações, consulte Criptografar recursos do Amazon RDS.

Amazon Simple Queue Service

Além da opção padrão de criptografia do lado do servidor (SSE) gerenciada pelo Amazon SQS, a SSE gerenciada pelo Amazon SQS (SSE-SQS) permite que você crie uma criptografia gerenciada personalizada do lado do servidor que usa chaves de criptografia gerenciadas pelo Amazon SQS para proteger dados confidenciais enviados por filas de mensagens. A criptografia no lado do servidor (SSE) permite que você transmita dados sigilosos em filas criptografadas. A SSE protege o conteúdo de mensagens em filas usando chaves de criptografia gerenciadas pelo Amazon SQS (SSE-SQS) ou chaves gerenciadas em (SSE-KMS). AWS KMS Para obter informações sobre como gerenciar o SSE usando o Console de gerenciamento da AWS, consulte Criptografia em repouso.

Criptografia de dados em repouso

OpenSearch Os domínios de serviço oferecem criptografia de dados em repouso, um recurso de segurança que ajuda a impedir o acesso não autorizado aos seus dados. O recurso usa AWS Key Management Service (AWS KMS) para armazenar e gerenciar suas chaves de criptografia e o algoritmo Advanced Encryption Standard com chaves de 256 bits (AES-256) para realizar a criptografia. Para obter mais informações, consulte Criptografia de dados em repouso para o Amazon OpenSearch Service.

Gerenciamento de chaves

AWS KMS é um serviço gerenciado que facilita a criação e o controle das chaves mestras do cliente (CMKs), as chaves de criptografia usadas para criptografar seus dados. AWS KMS CMKs são protegidos por módulos de segurança de hardware (HSMs) validados pelo Programa de Validação de Módulos Criptográficos FIPS 140-2, exceto nas regiões da China (Pequim) e China (Ningxia). Para obter mais informações, consulte O que é o AWS Key Management Service?